Compartilhar via

Segurança e privacidade para atualizações de software no Configuration Manager

  • Artigo

Aplica-se a: Configuration Manager (branch atual)

Este tópico contém informações de segurança e privacidade para atualizações de software no Configuration Manager.

Melhores práticas de segurança para atualizações de software

Utilize as seguintes melhores práticas de segurança quando implementar atualizações de software em clientes:

  • Não altere as permissões predefinidas nos pacotes de atualização de software.

    Por predefinição, os pacotes de atualização de software estão definidos para permitir que os administradores Controle Total e os utilizadores tenham acesso de Leitura . Se alterar estas permissões, poderá permitir que um atacante adicione, remova ou elimine atualizações de software.

  • Controlar o acesso à localização de transferência para atualizações de software.

    As contas de computador do Fornecedor de SMS, do servidor do site e do utilizador administrativo que irá transferir as atualizações de software para a localização de transferência requerem acesso de Escrita à localização de transferência. Restrinja o acesso à localização de transferência para reduzir o risco de os atacantes adulterarem os ficheiros de origem das atualizações de software na localização de transferência.

    Além disso, se utilizar uma partilha UNC para a localização de transferência, proteja o canal de rede com a assinatura IPsec ou SMB para impedir a adulteração dos ficheiros de origem das atualizações de software quando são transferidos através da rede.

  • Utilize UTC para avaliar os tempos de implementação.

    Se utilizar a hora local em vez de UTC, os utilizadores podem potencialmente atrasar a instalação de atualizações de software alterando o fuso horário nos respetivos computadores

  • Ative o SSL no WSUS e siga as melhores práticas para proteger Windows Server Update Services (WSUS).

    Identifique e siga as melhores práticas de segurança para a versão do WSUS que utiliza com Configuration Manager.

    Para obter mais informações sobre como ativar o SSL, veja o tutorial Configurar um ponto de atualização de software para utilizar o TLS/SSL com um certificado PKI.

    Importante

    Se configurar o ponto de atualização de software para ativar as comunicações SSL para o servidor WSUS, tem de configurar raízes virtuais para SSL no servidor WSUS.

  • Ative a verificação crl.

    Por predefinição, Configuration Manager não marcar a lista de revogação de certificados (CRL) para verificar a assinatura nas atualizações de software antes de serem implementadas em computadores. Verificar a CRL sempre que um certificado é utilizado oferece mais segurança em relação à utilização de um certificado que foi revogado, mas introduz um atraso na ligação e implica processamento adicional no computador que executa a marcar CRL.

    Para obter mais informações sobre como ativar a verificação de CRL para atualizações de software, veja Como ativar a verificação de CRL para atualizações de software.

  • Configure o WSUS para utilizar um site personalizado.

    Quando instala o WSUS no ponto de atualização de software, tem a opção de utilizar o Web site predefinido do IIS existente ou criar um site WSUS personalizado. Crie um site personalizado para o WSUS para que o IIS aloje os serviços WSUS num site virtual dedicado em vez de partilhar o mesmo web site que é utilizado pelos outros sistemas de sites Configuration Manager ou outras aplicações.

    Para obter mais informações, veja Configurar o WSUS para utilizar um web site personalizado.

Informações de privacidade para atualizações de software

As atualizações de software analisam os computadores cliente para determinar as atualizações de software necessárias e, em seguida, enviam essas informações de volta para a base de dados do site. Durante o processo de atualizações de software, Configuration Manager podem transmitir informações entre clientes e servidores que identificam o computador e as contas de início de sessão.

Configuration Manager mantém informações de estado sobre o processo de implementação de software. As informações de estado não são encriptadas durante a transmissão ou o armazenamento. As informações de estado são armazenadas na base de dados Configuration Manager e são eliminadas pelas tarefas de manutenção da base de dados. Não são enviadas informações de estado à Microsoft.

A utilização de atualizações de software Configuration Manager para instalar atualizações de software em computadores cliente pode estar sujeita a termos de licenciamento de software para essas atualizações, que são separados dos Termos de Licenciamento para Software para Configuration Manager. Reveja e aceite sempre os Termos de Licenciamento de Software antes de instalar as atualizações de software com Configuration Manager.

Configuration Manager não implementa atualizações de software por predefinição e requer vários passos de configuração antes de as informações serem recolhidas.

Antes de configurar as atualizações de software, considere os seus requisitos de privacidade.